计算机取证实验报告(共6篇).doc

计算机取证实验报告(共6篇) 一、实验目的： 通过运用软件R-Studio_5.0和winhex对误格式化的硬盘或者其他设备进行数据恢复，通过实验了解windows平台逻辑层误格式化数据恢复原理，能够深入理解并掌握数据恢复软件的使用方法，并能熟练运用这些软件对存储设备设备进行数据恢复。 二、实验要求： 运用软件R-Studio_5.0和winhex对电脑磁盘或者自己的U盘中的删除的数据文件进行恢复，对各种文件进行多次尝试，音频文件、系统文件、文档文件等，对简单删除和格式化的磁盘文件分别恢复，并检查和验证恢复结果，分析两个软件的数据恢复功能差异与优势，进一步熟悉存储介质数据修复和恢复方法及过程，提高自身的对存储介质逻辑层恢复技能。 三、实验环境和设备： Windows XP 或Windows000 Professional操作系统。 原始硬盘一个，目标硬盘一个。 或者可用U盘和软件R-Studio_5.0和winhex安装包。 四、实验内容： 熟悉R-Studio的操作界面和该软件的使用，掌握该软件的数据恢复方法，并运用该软件按步骤对硬盘或优盘进行逻辑层数据恢复。 熟悉Winhex的操作界面和该软件的使用，掌握该软件的数据恢复方法，并运用该软件按步骤对硬盘或优盘进行逻辑层数据恢复。 体会软件进行 windows平台逻辑层数据恢复的运行机制，并进行比较不同的数据恢复方法和原理。 五、实验步骤： 使用r-studio软件操作： 1．数据恢复。将要恢复文件的硬盘或者将要恢复文件的独立U盘连在计算机上，打开r-studio软件。 2．打开任意磁盘或者分区，右边显现文件有红色叉的表示删除的文件。 3．勾选该文件，“右击”选择“恢复标记文件”，设置文件输出路径，便可以恢复文件了。 4．点击某分区，右击选择“扫描”，进行“文件系统设置”选项设置后，点击“扫描”开始扫描磁盘 5．双击“红色盘符”，然后双击“额外找到的文件”，就可看到此文件系统下的恢复文件 6．右击选择“恢复标记的内容”，设置恢复的路径，此路径不能在此次扫描的磁盘中。 7．分别采用简单删除和格式化的方式删除磁盘文件，采用上述方法恢复并查看结果，采用上述方法恢复不同的文件不同大小的文件，系统文件等。 使用Winhex软件操作： 1．以管理员身份运行Winhex，打开Winhex主界面。 2．选择Tools菜单中的Open Disk打开所需磁盘。 3. 再选择Tools菜单中的Disk Tools下的File Recovery by Type根据文件类型恢复数据。 4. 在左边文本框中选择需要的文件类型，在右边输入恢复数据的数出文件夹，点击左下角“OK”按钮开始恢复数据。 5.查看恢复的数据。 六、实验结果： 查看到U盘中有红色×删除的文件： 恢复后存在文件夹，但是文件夹为空。接下来开始扫描磁盘： 扫描磁盘后，出现“红色盘符”，恢复文件： 恢复标记文件 应验证标记的文字文档能够恢复，本机立即删除的音频文件、视频文件能够恢复到指定的路径下，其中存在不完整的视频文件，格式化的文件视情况有些不能完全恢复或者出现恢复失败。 使用Winhex软件操作，查看U盘中的文件： 选择恢复文件： 用Winhex恢复数据文件，在文件没有碎片的情况下的分区，每个分区下的根目录数据完好，也不能完全恢复，必须用Winhex修复底层代码后才能使用，分析用Winhex恢复的图片文件： 有时候必须自己计算分区表来恢复数据，指定分区的起始位置等。 对U盘提示格式化后用R-Studio_5.0进行数据恢复，可以恢复对分区的误格式化，误删除文件，经验证对于硬盘分区打开提示格式化也是一样用，当然对于大量的文件系统更适合使用Winhex进行数据恢复。用R-Studio_5.0为分区的磁盘提供完整数据恢复的解决方案。当然采用U盘镜像方式、扫描镜像也可以完成数据恢复的工作。 七、心得体会： 通过这次简单的数据恢复实验和对数据恢复工具R-Stu